XSS(Cross Site Scripting)即跨站脚本攻击,是指由于过滤不当导致恶意代码注入网页,当受害者访问网页时,浏览器执行恶意代码,执行攻击者的攻击行为 ...
分类:
其他好文 时间:
2020-07-29 15:38:19
阅读次数:
73
CSRF (Cross Site Request Forgery)即跨站请求伪造,是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法 ...
分类:
其他好文 时间:
2020-07-22 23:28:09
阅读次数:
68
引言 最近打算好好练习一下基础的技能,所以在闲余之暇,花一点时间做做靶场练习 先打算从比较方便的可以在线的练习开始,所以并没有用最常用的DVWA,而就直接用的在线的这个xss靶场开始 此文仅是用来记录我自己的学习心得,有写得不好的地方,望大家见谅 靶场地址 https://xss.haozi.me/ ...
分类:
其他好文 时间:
2020-07-19 00:42:36
阅读次数:
71
前言 DVWA靶场都不陌生,最新学习xss,从新又搞了一遍xss部分,从源码方面康康xss的原因,参考了很多大佬的博客表示感谢 更多web安全知识欢迎访问:https://lmg66.github.io/ 环境配置 官网:http://www.dvwa.co.uk/ 下载地址:https://git ...
分类:
其他好文 时间:
2020-07-15 23:28:25
阅读次数:
103
#前言 XSS又叫跨站脚本攻击,是一种对网站应用程序的安全漏洞攻击技术。它允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响。XSS分为三种:反射型,存储型,和DOM型。下面我会构造有缺陷的代码,从代码分析这三种类型。 如果想要了解XSS基础的可以看我的这篇文章:XSS(跨站脚本攻击)简单 ...
分类:
其他好文 时间:
2020-07-12 01:06:50
阅读次数:
132
DVWA最经典PHP/MySQL老靶场,简单回顾一下通关流程吧 DVWA十大金刚,也是最常见的十种漏洞利用:Brute Force(暴破)、Command Injection(命令行注入)、CSRF(跨站请求伪造)、File Inclusion(文件包含)、File Upload(文件上传)、Ins ...
分类:
其他好文 时间:
2020-07-05 12:04:13
阅读次数:
77
LOW 打开,是个查询ID 利用$_REQUEST获取id参数,$_REQUEST 包含了 $_GET,$_POST 和 $_COOKIE 的数组,可以被远程用户篡改而并不可信。 直接将$_REQUEST的数据插入sql查询语句未做任何过滤,造成了SQL注入漏洞 -1'union select us ...
分类:
数据库 时间:
2020-06-03 17:13:46
阅读次数:
117
DVWA环境下使用SQLMAP实现sql注入测试。
分类:
数据库 时间:
2020-06-03 09:22:12
阅读次数:
76
DVWA是有等级区分的,所以做题之前要先看看等级是否修改,要不然就一直impossible 级别 Vulnerability: Brute Force 下面的网址有密码字典,用来load https://github.com/arthur0081/Blasting_dictionary/blob/m ...
分类:
其他好文 时间:
2020-05-19 18:44:38
阅读次数:
59
phpstudy安装&sqli labs部署 可以参考下这篇文章 注意:sqli labs与php5版本适应较好,但是最新版的phpstudy中默认php是php7版本,所以在phpstudy中要下载php5,并把网站的php版本换成php5,仍用php7会出现很多语法错误。sqli labs可以再 ...
分类:
数据库 时间:
2020-05-12 15:23:24
阅读次数:
124